社群編輯黃郁棋/綜合報導
自從Windows 8正式推出後,微軟開始了一連串的改革;先是宣布IE10不支援Windows 7以下的作業系統、推出「439元Win 8 Bug升級方案」、緊接著又宣判了MSN的死刑,確定要併入Skype。14日有國外民眾發現,Skype帳號合併過程有瑕疵,只要6個步驟,人人都可以當駭客!
▲Skype出現超級大漏洞!(圖/取自Skype)
到底問題出在哪呢?由於在MSN與Skype整併過程當中,一共會用到好幾種帳號資料,包括「MSN帳號(也就是email)」、「Skype註冊郵件(還是email)」以及「Skype號(自行設定)」,造成註冊資料混亂;或許是為了整併上的方便,同樣一組電子郵件地址,可以直接用來註冊多組Skype帳號,甚至不需要電子郵件的確認。
於是問題來了!如果註冊者並非電子郵件持有者本人,帳號的安全就受到很大的挑戰。根據國外網友提供的資料,你只要完成以下6個步驟,就能把別人的帳號「奪為己用」。分別是:
▲同樣電子郵件可以重複註冊。(圖/翻攝自Pixus.ru)
一、用別人的電子郵件地址註冊帳號(記者實際測試,確定可以)。
二、用新申請的帳號登入Skype桌面版應用程式。
三、在首頁「尋找好友」畫面上任一處點一下,讓視窗在被選取狀態。接著一直按F5重新整理,直到「邀請你的Facebook好友來Skype」畫面出現,選「不要」。
▲要駭別人帳號從沒如此簡單過。(圖/翻攝自Pixus.ru)
四、去Skype的「忘記密碼」畫面,輸入這個想駭的電子郵件地址,按送出。
五、回到Skype應用程式首頁,會出現「密碼被修改」的通知。按下面的「更多資料」,會出現臨時序號,點下去。
六、你獲得了更改這個電子郵件密碼的權限,駭客成功!
▲駭客取得了修改密碼的權限!(圖/翻攝自Pixus.ru)
不過心懷不軌的人看到這,我可能得跟您說聲抱歉,就在幾個小時前微軟關閉了「忘記密碼」的功能,現正進行修正當中;這項漏洞已經被發現了。但微軟自從Windows 8問世以來似乎狀況連連,先前的「439 Win8 Bug升級方案」一度被修補,但這幾天又有Bug再度出現的情況發生。(編按:第2次Bug的出現,多數人都認為微軟是故意的,或許439賣得嚇嚇叫,吃味了。)
為了避免類似的資安危機再度發生,建議民眾去Skype的個人資料頁面新增一組「只有自己知道」的電子郵件地址,並設定此為主要地址,閃躲有心人士造成的傷害。
【11/15/08:00更新】美國微軟發布了修正通知,內文如下:
Early this morning we were notified of user concerns surrounding the security of the password reset feature on our website. This issue affected some users where multiple Skype accounts were registered to the same email address.
We suspended the password reset feature temporarily this morning as a precaution and have made updates to the password reset process today so that it is now working properly. We are reaching out to a small number of users who may have been impacted to assist as necessary.
Skype is committed to providing a safe and secure communications experience to our users and we apologize for the inconvenience.
我們想讓你知道…真的是超誇張的漏洞!